准备语句:处理 SELECT 查询中的动态列名
挑战:
准备好的语句可以在 SELECT
查询中容纳动态列名称吗?
场景:
用户演示了 MySQL 和 Java 示例:
String columnNames = "d,e,f"; // From user input String tableName = "some_table"; // From user input String query = "SELECT a,b,c,? FROM " + tableName + " WHERE d=?"; //...
用 columnNames
字符串替换参数会得到:
SELECT a,b,c,'d,e,f' FROM some_table WHERE d='x'
然而,预期的结果是:
SELECT a,b,c,d,e,f FROM some_table WHERE d='x'
解决方案:
直接对动态列名使用准备好的语句不可行。 准备好的语句参数化值,而不是列标识符。
替代策略:
最有效的解决方案是修改数据库模式。 不要将数据分散在多个列中,而是引入单个列来保存动态命名的列。 该列将包含一个序列化字符串,表示每行的列名称列表。
这需要严格的输入清理以防止 SQL 注入。 使用 String#replace()
转义引号,然后将清理后的列名称连接到 SQL 查询字符串中是一种可行的方法。 考虑对查询的其他部分使用参数化查询,以尽可能保持安全优势。
以上是准备好的语句可以处理 SELECT 查询中的动态列名吗?的详细内容。更多信息请关注PHP中文网其他相关文章!

本文探讨了Docker中的优化MySQL内存使用量。 它讨论了监视技术(Docker统计,性能架构,外部工具)和配置策略。 其中包括Docker内存限制,交换和cgroups

本文介绍了MySQL的“无法打开共享库”错误。 该问题源于MySQL无法找到必要的共享库(.SO/.DLL文件)。解决方案涉及通过系统软件包M验证库安装

本文讨论了使用MySQL的Alter Table语句修改表,包括添加/删除列,重命名表/列以及更改列数据类型。

本文比较使用/不使用PhpMyAdmin的Podman容器直接在Linux上安装MySQL。 它详细介绍了每种方法的安装步骤,强调了Podman在孤立,可移植性和可重复性方面的优势,还

本文提供了SQLite的全面概述,SQLite是一个独立的,无服务器的关系数据库。 它详细介绍了SQLite的优势(简单,可移植性,易用性)和缺点(并发限制,可伸缩性挑战)。 c

文章讨论了为MySQL配置SSL/TLS加密,包括证书生成和验证。主要问题是使用自签名证书的安全含义。[角色计数:159]

本指南展示了使用自制在MacOS上安装和管理多个MySQL版本。 它强调使用自制装置隔离安装,以防止冲突。 本文详细详细介绍了安装,起始/停止服务和最佳PRA

文章讨论了流行的MySQL GUI工具,例如MySQL Workbench和PhpMyAdmin,比较了它们对初学者和高级用户的功能和适合性。[159个字符]


热AI工具

Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool
免费脱衣服图片

Clothoff.io
AI脱衣机

AI Hentai Generator
免费生成ai无尽的。

热门文章

热工具

Dreamweaver CS6
视觉化网页开发工具

禅工作室 13.0.1
功能强大的PHP集成开发环境

EditPlus 中文破解版
体积小,语法高亮,不支持代码提示功能

SublimeText3 英文版
推荐:为Win版本,支持代码提示!

ZendStudio 13.5.1 Mac
功能强大的PHP集成开发环境